estado del arte de la (in)seguridad voip

77ESTADO DEL ARTE DE LA (IN)SEGURIDAD VOIPJOHN ALEXANDER RICO FRANCO

Rev. Ingeniería, Matemáticas y Ciencias de la InformaciónVol. 1 / Núm. 1 / 2013

ESTADO DEL ARTE DE LA(IN)SEGURIDAD VOIP

JOHN ALEXANDER RICO FRANCO*

Recibido: 12 de junio de 2013 / Aceptado: 25 de julio de 2013

RESUMEN

La telefonía basada en el protocolo IP (VoIP) es el concepto tecnológico que com-prende a todos los mecanismos necesarios para lograr realizar llamadas telefónicasy/o sesiones de videoconferencia a través de redes de datos, permitiendo serviciosde telefonía a costos mínimos y de fácil implementación e integración con la red dedatos propia de cualquier empresa; y es por estas características que los productosVoIP han tenido una muy rápida y amplia aceptación en todo rango de empresas, usodomestico y otros ambientes que requieren de soluciones de telefonía, pero debidoa la concepción de la telefonía como mecanismo seguro de transmisión de informa-ción y la visión sesgada de que los mecanismos de seguridad son solo gastos inne-cesarios o que son procesos engorrosos que disminuyen la facilidad de uso decualquier tecnología, se pueden llegar a implementar de manera muy insegura o conpoca preocupación en este rublo, soluciones VoIP vulnerables y con resultados ca-tastróficos en el manejo de información sensible compartida en conversaciones tele-fónicas confidenciales.

El presente artículo busca presentar los conceptos y conclusiones que han sido resul-tado de un proyecto de investigación basado en descubrir y detectar cuales son losgrandes inconvenientes que acechan a la tecnología VoIP y encontrar cuales son lassoluciones más innovadoras que esta presentando la comunidad de la seguridad dela información a nivel global; para así lograr concientizar a los profesionales de laseguridad y a cualquier actor implicado en una solución VoIP que aparte de losbeneficios propios de este tipo de tecnología, esta viene de la mano con vulnerabili-dades y problemas de seguridad que hay que tener en cuenta y que son comunes encualquier tipo de tecnología emergente; pero que a su vez no todo el panorama essombrío y que existen soluciones de seguridad VoIP que garantizan la integridad,disponibilidad y confidencialidad de la información que circula en forma de voz y/ovideo en las redes VoIP.

PPPPPalabras clave:alabras clave:alabras clave:alabras clave:alabras clave: VoIP, SIP, H323, H.235, RTP, SRTP, gestor de llamadas, terminalesVoIP suplantación, espionaje, denegación del servicio (DoS), fuzzing, señalización,seguridad.

ABSTRACT

Voice over Internet Protocol (VoIP) is the technology concept that includes all thenecessary mechanisms for making phone calls and video conferencing sessions through

* Ingeniero de Sistemas. Especialista en Seguridad de Redes de la Universidad Católica de Colombia, conmás de 5 años de experiencia como consultor independiente en proyectos referentes a temas de seguridadinformática, criptografía y realización de pruebas de calidad de software. Catedrático Universitario yDocente Investigador del Grupo de Investigación y Desarrollo de Ingeniería de Sistemas (G.I.D.I.S) dela Corporación Universitaria Republicana.

78 REVISTA INGENIERÍA, MATEMÁTICAS Y CIENCIAS DE LA INFORMACIÓN


data networks; allowing telephony services at minimal costs with an easy structureimplementation and simple integration with any company data network; and is forthese unique features that the VoIP products have a very fast and wide acceptance inwhole range of companies, local telephony deployments and other environments thatrequires telephony solutions, but due to the widespread idea that the phone service isa secure way of transmitting information and the biased view by some employeesindicating the security mechanisms are just unnecessary expenses or cumbersomeprocesses that decrease the ease use of any technology may limit some developmentsof VoIP solutions and the vulnerable VoIP networks can generate catastrophic resultsin managing of sensitive shared information which is transmitted on confidentialtelephone conversations.

This article pretend to present the concepts and conclusions which have been theresult of a research project based on discovering and detecting the major drawbacksand weaknesses proper the VoIP technology and find out which are the most innovativesecurity solutions that are presenting by the international research community ofmatters related to information security; and this is for generate awareness amongsecurity professionals and any player involved in a VoIP solution that apart from theprofits of this technology there are serious security problems and vulnerabilities thatmust be taken into account and that are common in any type of emerging technology;but dear reader should keep in mind that not all the scene is dark and there are VoIPsecurity solutions that ensure the integrity, availability and confidentiality of theinformation circulating in the form of voice and / or video in VoIP networks.

KKKKKeywords: eywords: eywords: eywords: eywords: VoIP, SIP, H323, H.235, RTP, SRTP, Call manager, VoIP terminals,impersonation, wiretapping, denial of service (DoS), fuzzing, data signaling,information security.

INTRODUCCIÓN

La percepción sobre la idea de la seguridad informática, ha estado en bogaa nivel empresarial en los últimos años y se ha convertido en una necesidad,más que en un compromiso, frente a una tendencia competitiva cada vez masenfocada al uso de nuevas tecnologías y por ende a mejorar su participación enla Internet; pero esto ha abierto las puertas a un nuevo enemigo, el atacanteinformático, que busca aprovecharse de la falta de robustez de seguridad delas tecnologías emergentes, de las vulnerabilidades propias de cualquier nue-vo proceso de comunicación y de la poca concientización de los usuarios de loimportante que es la información; para así lograr afectar de manera negativa acualquier empresa a nivel internacional sin mucho esfuerzo o conocimientotécnico. Y si a lo anterior, lo contextualizamos en una época como lo es laactual, en donde todas las grandes organizaciones están extendiendo el uso deredes VoIP (Voice Over Internet Protocol) como mecanismo potenciador de suinfraestructura de comunicaciones y también como fuente de reducción decostos. Pero no se está teniendo en cuenta que el ambiente de riesgos asocia-dos a las redes VoIP, se encuentra en constante incremento, ya que los atacanteshan descubierto que este ambiente es muy propicio para poder recolectar in-formación empresarial de manera fácil y efectiva.



Así que el fin de este artículo es poder exhibir a cualquier lector interesado,un escrito enfocado a exponer las vulnerabilidades de la redes VoIP; que en laactualidad son una gran fuente de información sensible que un atacante puedeadquirir y comprender de manera muy fácil, y también se busca el poder pre-sentar cuales son algunas de las mas nuevas e innovadoras tendencias en segu-ridad VoIP; las cuales pueden llegar a ser fuente de inspiración de nuevastecnologías de seguridad o llegar a ser base para proteger la información com-partida sobre este tipo de redes en cualquier empresa interesada.

¿QUÉ ES LA VOIP?

Para poder iniciar de la mejor manera el estudio sobre la seguridad en latelefonía sobre el protocolo de Internet (VoIP) hay que conocer que es la VoIP;así que se inicia explicando que la tecnología de voz sobre el protocolo IP, serefiere a el concepto tecnológico que engloba las metodologías, tecnologías,protocolos de comunicación y técnicas de transmisión que se utilizan para ladistribución de sesiones de video (videoconferencias) y de comunicaciones devoz a través de redes basadas en el protocolo de Internet (IP), esto quieredecir que se envía la señal de voz y/o video en forma digital en paquetes dedatos, en lugar de enviarla en forma análoga a través de los circuitos cableadosque son exclusivos de la telefonía convencional, como lo son las redes PSTN(Public Switched Telephone Network); así que bajo este concepto hay que te-ner en claro que los datos de voz y video bajo la tecnología VoIP, viajan enredes de propósito general y que están basadas en paquetes en vez de la típicalínea telefónica basada en circuitos.

Una de las ventajas de la tecnología VoIP es que se permite controlar eltráfico de la red, por lo que se disminuyen las posibilidades de que se produz-can caídas importantes en el rendimiento del servicio telefónico; además esindependiente del tipo de red física que lo soporta, permitiendo así la integra-ción con las grandes redes de datos actuales.

En lo referente al concepto de seguridad en redes VoIP, aun es deficiente;debido a que los protocolos y codecs utilizados son parcialmente nuevos y porende vulnerables, permitiendo así a un agresor poder realizar ataques de de-negación de servicio, grabar conversaciones y/o acceder a buzones de voz demanera relativamente fácil; lo cual puede comprometer de manera alarmantela información sensible de una compañía.

Ahora, un aspecto que hay que tener muy presente al momento de analizarque es la VoIP, es que los protocolos VoIP son los que permiten a dos o másdispositivos transmitir y recibir audio y/o video en tiempo real, lo cual es la



base que permite soportar el servicio de llamadas bajo el protocolo IP y que losprotocolos mas altamente utilizados al momento de generar soluciones de VoIPson el Protocolo de Inicio de Sesión (SIP – Session Initiation Protocol) y lafamilia de protocolos H.323; pero existen distintas configuraciones entre pro-tocolos y elementos de red, que pueden ser utilizados en la implementación deuna solución VoIP, lo cual genera confusión y permite a cualquier atacanteaprovecharse de esta falta de regulación; así que por esto exhibimos cuales sonlos elementos básicos de una solución VoIP; en lo que refiere a dispositivos dered, son dos los dispositivos fundamentales:

• Terminales: Un teléfono VoIP o terminal VoIP es el dispositivo utilizadopara iniciar y recibir llamadas; y es el tipo de terminal llamado Softphoneel que es más utilizado al momento de implementar una solución VoIP, yaque este es una herramienta VoIP basada en software que permite a cual-quier computador de escritorio o teléfono de inteligente poder realizary/o recibir llamadas VoIP; esta es una solución muy practica y de bajocosto para implementación de terminales VoIP, pero puede ser fácilmenteatacada por cualquier usuario mal intencionado, puesto que al ser unaherramienta basada en software, puede ser transgredida mediante dife-rentes técnicas de ataque que se basan en las vulnerabilidades propias decualquier solución de esta índole.

• Gestor de llamadas (Call Manager): Este dispositivo de tipo servidor, esel encargado de identificar y encontrar las diferentes terminales de unainfraestructura VoIP al momento de gestionar una llamada telefónica; enpocas palabras este es el encargado de proporcionar las funcionalidadesde una central telefónica (PBX) a cualquier solución VoIP y además es elresponsable de la autentificación de los usuarios que interactúan con lared VoIP. Este es el dispositivo que más ataques recibe al momento detratar de comprometer una solución de VoIP, ya que si un atacante logracontrolar y/o engañar al gestor de llamadas, puede desde hacerse pasarpor un usuario legitimo de la red VoIP hasta escuchar llamadas privadasentre los usuarios de la solución VoIP, pudiendo así comprometer la inte-gridad y confidencialidad de dichas llamadas telefónicas.

Ya habiendo visto cuales son los dos dispositivos de red VoIP básicos, pa-samos a ver los protocolos VoIP que más ampliamente son utilizados al mo-mento de generar una solución VoIP.

A. SIP (Session Initiation Protocol - Protocolo de Inicio de Sesión)

El Protocolo de Inicio de Sesión o SIP, fue estandarizado por el InternetEngineering Task Force (IETF) y es el protocolo genérico de cualquier solu-



Figura 1. Arquitectura SIP2

1 H. SCHULZRINNE, E. SCHOOLER Y J. ROSENBERG; «SIP: Session Initiation Protocol» RFC 3261, 2002.

2 Ibídem.

ción VoIP, ya que es considerado en la actualidad como el estándar para seña-lización multimedia (video y audio) en redes IP, puesto que este fue diseñadopara soportar cualquier clase de sesión de comunicación bidireccional y estoincluye a las llamadas VoIP, tal como se especifica en el RFC 32611. Su funcio-namiento es muy básico al ser un protocolo genérico, en si lo que hace este esgestionar todas las solicitudes que son enviadas al servidor SIP (gestor dellamadas) por los distintos clientes SIP (terminales), entonces el servidor SIPprocesa dichas solicitudes de comunicación y las responde a los clientes SIP,enviando los respectivos mensajes de respuesta SIP; pero a diferencia de losdemás protocolos IP, las implementaciones VoIP deben estar instaladas tantoen el cliente SIP como en el servidor SIP, para que así cualquiera de las dospartes pueda iniciar o finalizar las llamadas IP; este mecanismo de funciona-miento se detalla en la figura 1.

Tal como se puede observar, la arquitectura SIP maneja un diseño muyparecido al modelo transaccional de solicitud/respuesta de HTTP; puestoque en ambos modelos su transacción consta en una solicitud de un cliente ousuario que invoca a un método en particular o función específica del servi-dor y este responde a el cliente de acuerdo a la respuesta dada por el méto-do o función ejecutada. El protocolo SIP reutiliza la mayora de campos decabecera y reglas de codificación de HTTP, lo cual hace que su funcionamien-to sea fluido en cualquier red basada en protocolo IP, pero lo hace muysensible a ataques basados tanto en vulnerabilidades del protocolo SIP comoen las del protocolo HTTP.



B. H323

La familia de protocolos H.323 fue presentada por el ITU TelecommunicationStandardization Sector (ITU-T) como mecanismo para proveer sesiones decomunicación audio – visual sobre cualquier red basada en paquetes y ha sidoampliamente adoptada por el sector empresarial debido a su fácil integracióna las redes de telefonía tradicional PSTN (Public Switched Telephone Network),ya que el protocolo H.323 es un protocolo binario lo cual se acopla perfecta-mente a la lógica de funcionamiento de las redes PSTN. Los protocolos queson el núcleo de la familia H.323 son los siguientes:

H.225 (RAS): Este protocolo permite el registro, admisión y estatus de lacomunicación entre los agentes H.323 (terminales) y el servidor de llamadasH.323 (gestor de llamadas), y es este protocolo encargado de proveer la reso-lución de direcciones y los servicios de control de admisión a la red VoIP.

H.225: Es el encargado de realizar el proceso de señalización de las llama-das y este es implementado entre los agentes H.323 (terminales).

H.245: Es el protocolo que esta comisionado para el control de la comuni-cación multimedia, ya que este es el que describe los mensajes y procedi-mientos que son utilizados para el establecimiento y clausura de canaleslógicos de comunicación de audio, video y datos, junto con sus controles eindicadores.

Protocolo de Transmisión en tiempo Real (RTP): Es el protocolo utilizadopara enviar y recibir información multimedia (video, voz y texto) entre agen-tes H.323.

En la figura 3 veremos el funcionamiento a grosso modo del protocolo H.323.

LOS ABISMOS DE LA SEGURIDAD GENERADOS POR LA VOIP

La mayoría de los usuarios no técnicos de las redes telefónicas que sebasan en el protocolo de Internet; que casi siempre son los que toman lasdecisiones al momento en invertir en tecnología más por costos que por se-guridad o calidad del servicio; manejan un concepto erróneo de una seguri-dad implícita sobre el manejo de la información que comunica mediantellamadas telefónicas vía VoIP, ya que estos usuarios están seguros de que lainformación está llegando de manera segura al destinatario que ellos deseany que no existe nadie más «escuchando» dicha comunicación; pero hay queaclarar que esta manta de seguridad fue adquirida por dichos usuarios debi-



3 VARIOS; «Packet-Based Multimedia Communications Systems» ITU-T Recommendation H.323, 2003.

Figura 2. Funcionamiento del protocolo H.3233

do a su interacción cotidiana con las redes de telefonía convencional (PSTN -Red Telefónica Conmutada), que si poseen mecanismos seguros como lo sonsu perímetro y su seguridad física por defecto; pero la estructura propia dela Internet elimina dichas barreras permitiendo que atacantes puedan apro-vechándose de la versatilidad (búsqueda de vulnerabilidades) y prolifera-ción (masificación de puntos de ataque) de redes basadas en Internet,permitiendo así la materialización de incidentes de seguridad que puedenafectar seriamente el buen nombre de cualquier compañía y poner en riesgosu competitividad en un mercado (cualquiera que este sea) cada vez másdesafiante y complejo.



Otro aspecto a tener en cuenta al momento de evaluar cuales son los puntosdébiles en la seguridad de los ambientes VoIP, es que esta es una tendencia decomunicación parcialmente nueva, y que por ende existen varios protocolos ytecnologías de implementación que aun se encuentran en estado emergente yque por esto pueden generar brechas de seguridad debido a su falta de robus-tez; y esto sumado a posible negligencia al no adoptar buenas prácticas deseguridad al momento de gestionar una solución VoIP, se puede llegar a gene-rar una red VoIP altamente insegura y que puede llegar a ser bastante nocivaa la información sensible que circula por dicha solución.

Pero aunque la seguridad en soluciones de VoIP puede llegar a ser compli-cada de aplicar, pero no es imposible; lo que hay que tener muy presente y serconsientes, como responsables de la seguridad de la información, es que losagresores informáticos están viendo a las redes VoIP como un nuevo punto deataque, debido a que un ambiente VoIP desprotegido les puede dar acceso ainformación sensible de manera rápida y de «fácil» captura en un ambiente decomunicación vulnerable.

CATEGORÍAS DE ATAQUE A SISTEMAS VOIP

Ya habiendo visto cuales son las falencias de seguridad que se pueden pre-sentar al momento de implementar un sistema de comunicaciones telefónicasbasado en el protocolo IP; pasaremos a ver cuáles son las alternativas de agre-sión más ampliamente utilizadas por los atacantes informáticos al momento decomprometer la integridad, disponibilidad y confidencialidad de la informa-ción que circula por una red VoIP.

A. Espionaje y análisis de tráfico VoIP

En esta tendencia de ataque a sistemas VoIP, lo que un usuario mal inten-cionado busca es poder monitorear y en su efecto escuchar las llamadas telefó-nicas desprotegidas realizadas por dos o más terminales bajo cualquier protocoloVoIP, logrando así socavar la confidencialidad e integridad de la informaciónsensible que se manipula y distribuye por dicho medio.

Las dos técnicas de ataque que son genéricas o meta-ataques utilizados bajoesta tendencia son:

• Análisis de tráfico VoIP: Esta técnica busca estudiar como las terminalesVoIP se comunican entre sí; mediante la realización de un exhaustivo estu-dio del comportamiento y estructura de los paquetes VoIP que transitan através de la solución de telefonía IP que está siendo auditada o atacada,



junto con una investigación de los protocolos VoIP y de red utilizados enla infraestructura de comunicación y las direcciones IP involucradas almomento de realizar las llamadas telefónicas; y es con esta informaciónque el atacante puede estructurar su estrategia de ataque, moldeándolabajo los aspectos específicos de la red VoIP a comprometer .

• Eavesdropping (Espionaje): Esta técnica de ataque es la que más afectaa las soluciones de telefonía IP, ya que es en esta donde un atacantepueda escuchar las llamadas realizadas entre dos terminales VoIP; estemodelo de ataque es el comúnmente llamado «pinchado» de llamadas,que tan comúnmente escuchamos en el ambiente político colombiano enlos últimos tiempos. Esta técnica de ataque se materializa bajo el tipo deataque llamado Man-in-the-Middle (MitM) donde el atacante que ha lo-grado tener acceso a la red que soporta a la solución VoIP puede colo-carse entre dos terminales VoIP para así lograr escuchar y almacenar enformato de audio las llamadas realizadas entre estas dos terminales ypoder apropiarse de cualquier información sensible que haya sido co-municada en dichas llamadas telefónicas.

Otras técnicas de ataque, mas especificas que se pueden apreciar bajo estaclasificación son las siguientes:

Sniffing (Análisis de tráfico) de transferencia de archivos de configuraciónTFTP

El atacante busca estudiar el trafico UDP (User Datagram Protocol), para des-cubrir el nombre e información de los archivos de configuración TFTP (TrivialFile Transfer Protocol) y asi descargarlos del servidor TFTP para su estudio.Estos archivos contienen datos clave, como lo son passwords y nombres deusuario, que son posteriormente aprovechados por el atacante para realizarnuevos ataques con el uso de credenciales validas y poder ingresar a la solu-ción VoIP como un usuario legítimo.

Escaneo de la red VoIP con pings TCP

En esta técnica, el atacante envía de manera aleatoria peticiones de conexión adiferentes puertos de conexión TCP (Transmission Control Protocol); que sonlos identificadores de las aplicaciones emisoras y receptoras en cualquier equi-po de computo; entonces mediante esta técnica el atacante puede ver el compor-tamiento de la conexión TCP/IP que soporta a la solución VoIP y así darse unaidea de la estructura y del funcionamiento del sistema VoIP que esta maneja.



Escaneo UDP

El atacante envía cabeceras UDP (User Datagram Protocol) vacías a los puertosUDP de la víctima VoIP, y si la victima responde con un paquete UDP, indicaque el servicio está activo y así poder aprovecharse posteriormente de sus posi-bles vulnerabilidades.

Enumeración de usuarios y de extensiones

El atacante se aprovecha del método SIP Register, que es generado por el usua-rio para el gestor de llamadas VoIP que para este ataque es un servidor SIP, aquíel atacante envía solicitudes de registro a varias extensiones y usuarios de lared VoIP, para así poder listar las extensiones no utilizadas o los usuarios noregistrados.

Enumeración de servidores TFTP

La mayora de teléfonos VoIP utilizan un servidor TFTP (Trivial File TransferProtocol) para descargar el archivo de configuración del teléfono; pero el servi-dor TFTP no requiere de autentificación para enviar el archivo de configura-ción y es allí, que si el agresor logra comprometer a el servidor TFTP y envíaarchivos de configuración corruptos a el teléfono VoIP puede configurarlos demanera insegura o con vulnerabilidades que el atacante podrá aprovechar enfuturas arremetidas.

B. Suplantación

Esta clasificación de ataques a sistemas VoIP agrupa a todos los ataques quepueden suplantar la identidad de un usuario, terminal o servicio VoIP autori-zado; para que así el atacante pueda realizar redirección de llamadas, accedera la red VoIP, ya sea a la información sensible que es transmitida por ella, o aelementos físicos de la red VoIP, o a servicios VoIP implementados, o a otrosactivos VoIP que le interese comprometer.

Este tipo de ataques ocurren debido a la mala estructuración y/o configu-ración insegura de una red VoIP; puesto que al existir estas falencias no sepuede confiar en el identificador de llamadas utilizado por el gestor de llama-das y que es consultado por las terminales VoIP como método de verificaciónde la identidad del usuario que genera y/o recibe una llamada telefónica, o sila terminal VoIP que está implicada en el proceso de una llamada está realmen-te autorizada para realizar dicha función; ya que cualquier agresor puede rea-



lizar una suplantación a nivel digital utilizando muestras de voz, que puedanhaber sido capturadas en la misma red VoIP, para así poder hacerse pasar porun usuario autorizado o de confianza para el receptor de la llamada y median-te técnicas de modificación de elementos de red, puede hacerse pasar por unequipo o terminal VoIP autorizado.

Algunos ejemplos de ataques basados bajo esta metodología son:

Ataques de Replay

Aquí un atacante utiliza de tonos de llamada (redes PSTN), muestras de voz opaquetes de autentificación VoIP validos que han sido previamente captura-dos, para así intentar pasar las llamadas realizadas por el atacante como lla-madas validas en el sistema y/o engañar al receptor.

Suplantación de Identidad

Este ataque es simplemente lograr que un usuario o terminal VoIP se haga pasarpor otro en la red VoIP; la suplantación de identidad como método de ataque enuna red VoIP puede llegar a ser muy efectivo al momento de querer tomar infor-mación de una víctima que confía en la extensión y de la persona de quien le llegala llamada. Este ataque se logra bajo el concepto de envenenamiento de ARP(Address Resolution Protocol) que es poder relacionar la dirección MAC (MediaAccess Control Addres) del atacante con una IP real de la red VoIP, logrando asípasar como una terminal VoIP autorizada, y así poder realizar y recibir llamadasen la red VoIP comprometida.

Redirección - Hijacking

En este tipo de ataque se busca que una de las terminales involucradas enuna llamada telefónica sea neutralizada y suplantada por una terminalcontrolada por el atacante, para así poder «secuestrar» la llamada realiza-da. La suplantación se puede realizar mediante el envenenamiento al servi-dor DNS (Domain Name System), que en si es engañar al servidor DNS,utilizado en la red que soporta la solución VoIP para que este acepte laveracidad de respuesta de DNS falsas, para así poder direccionar a los equi-pos VoIP legítimos a terminales controladas por el atacante que se hacenpasar por extensiones autorizadas de la compañía. Este tipo de ataques sonutilizados para robar identidades, credenciales y otra información sensibleal hacer creer a un usuario legítimo que está hablando con otro usuario de lacompañía y que este se encuentra con los privilegios suficientes para poderescuchar y tener acceso a dicha clase de información sensible que el atacantesolicita.



C. Interrupción del servicio de telefonía

Cualquier compañía, sin importar su razón social, tiene a su red telefó-nica como mecanismo principal de comunicación directa con sus clientes,proveedores, empleados y asociados; debido a que la comunicación vía te-lefónica es mecanismo de intercambio de información que es más amplia-mente utilizado y adoptado a nivel mundial. Por lo cual si se presentacualquier perturbación en el funcionamiento habitual de este servicio, pue-de afectar de manera negativa y significativa el buen funcionamiento decualquier organización.

Para nuestro caso, la interrupción del servicio se aplica directamente a to-dos los ataques que buscan impedir el servicio VoIP, incluyendo sus serviciosde acceso y de administración; atacando a cualquier dispositivo de la red quesoporta a el servicio VoIP, esto incluye a los servidores VoIP (Gestor de llama-das), las terminales VoIP, routers y demás elementos de red que interactúan odan soporte a la infraestructura VoIP. Estos ataques pueden ser directos o demanera remota, lo directos son cuando el atacante tiene acceso físico al dispo-sitivo de red y lo corrompe para que deje de funcionar correctamente, estetipo de ataque incluye el corte de suministro de energía a dichos elementos dered, para así poderlos dejar completamente fuera de servicio; y los ataquesremotos son los que mediante el envío de paquetes VoIP o de peticiones deconexión de manera indiscriminada y basándose en las vulnerabilidades delos protocolos VoIP, buscan congestionar y por ende bloquear a cualquier dis-positivo de la red VoIP o de la red de soporte que utilice la solución de VoIP acomprometer, este tipo de ataques remotos son llamados ataques de DoS (De-negación de Servicio).

Algunos ejemplos de ataques basados bajo esta metodología son:

Ataques DoS distribuidos

Este tipo de ataque Dos (Denial of Service), es donde el atacante logra tenerbajo su control a un gran número de equipos de usuarios desprevenidos queson capaces de realizar peticiones de conexión o llamadas VoIP, formandoasí una red Zombie, con la cual el atacante realizará de manera indis-criminada peticiones a la red VoIP de manera de avalancha aprovechandoque cada equipo Zombie puede generar miles de mensajes de conexión o lla-madas VoIP a un único dispositivo; buscando así inundar de paquetes VoIPal elemento de red víctima y este termine siendo incapacitado debido a elagotamiento de sus recursos.



Ataques de inundación de UDP

Es el tipo de ataque DoS (Denial of Service) más utilizado por los atacantes,

debido a que las direcciones origen de los paquetes UDP (User Datagram

Protocol) son fácilmente falsificables y también que la mayoría de dispositivos

VoIP actuales soportan al protocolo UDP de manera nativa y por ende

transparentemente.

Ataques de inundación de ICMP

En este tipo de ataque a la disponibilidad del servicio VoIP, el atacante busca

realizar un ataque DoS, aprovechando que la mayora de firewalls y routers

vienen configurados por defecto para dejar circular de manera desapercibida a

paquetes ICMP (Internet Control Message Protocol), debido a que por su natu-

raleza de mensaje de control no son considerados peligrosos sino que son solo

de diagnostico; pero un atacante puede tratar de inutilizar a un dispositivo de

la red VoIP a comprometerlo mediante el envió indiscriminado dichos paque-

tes de diagnóstico.

Envío de paquetes malformados (Fuzzing)

Puesto que la mayoría de equipos de red, sean o no VoIP están concebidos y

desarrollados para manejar tráfico de red convencional; un atacante puede ver

este concepto como una fuente de ataque; ya que estos dispositivos cuando

reciben paquetes desconocidos o malformados no saben cómo manipularlos, lo

cual esporádicamente lleva al bloqueo del equipo o servidor de red que da

soporte a la solución VoIP o directamente a los elementos propios de una red

VoIP, logrando asi minar la disponibilidad del servicio VoIP.

Fragmentación de paquetes

El atacante segmenta los paquetes UDP (User Datagram Protocol) y TCP

(Transmission Control Protocol), y los envía de manera separada por la red

VoIP, buscando así inutilizar a los equipos VoIP o de su infraestructura de red

mediante el consumo de recursos, debido a la espera de la llegada del paquete

faltante para completar la solicitud de conexión.

Ya habiendo visto grosso modo cuales son las principales técnicas de ata-que a servicios de VoIP, pasamos a ver de manera categorizada y clasificadalas tendencias de ataque a sistemas VoIP, en el cual podremos observar cuales



Figura 4. Tendencia de ataques a sistemas VoIP.5

Figura 3. Ataques a redes VoIP.4

4 ANGELOS KEROMYTIS; «Voice over IP Security: A Comprehensive Survey of Vulnerabilities andAcademic Research»; Editorial: Springer, 2011.

5 Ibídem.

son las elecciones de ataque utilizadas por un usuario mal intencionado almomento de querer comprometer un servicio VoIP (ver figura 3).

Como podemos ver la mayoría de ataques a sistemas VoIP buscan generaruna interrupción en el servicio de telefonía, buscando así que la disponibilidaddel servicio VoIP se vea mermada de manera significativa. Este concepto lopodemos ver claramente reflejado en la siguiente figura (ver figura 4).



¿Pero por qué los atacantes deciden afectar la disponibilidad del servicio deVoIP?; con base en esta pregunta se puede analizar y deducir que los atacanteshan descubierto que esta característica es la más deseada por los usuarios de lasredes VoIP y además que la falta del servicio VoIP genera una gran repercusióny que afecta de manera abismal a los usuarios y/o las empresas que basan sucomunicación con sus clientes y demás entes importantes con su red VoIP.

Además hay que tener muy presente que este tipo de ataques son los quetienen una gran facilidad de ejecución para el atacante novato o inexperto en eltema; en cuanto al resto de tipos de ataque a sistemas VoIP, también son dealta peligrosidad, pero su nivel de dificultad al momento de su ejecución esmayor y por ende se requiere de unas condiciones especiales y de un atacanteexperto o por lo menos familiarizado con la red VoIP a atacar, para tener uníndice de éxito favorable.

MECANISMOS DE SEGURIDAD VOIP

Ya habiendo visto cuales son los mecanismos de ataque y de aprovecha-miento de las vulnerabilidades de los sistemas VoIP, pasamos a revisar cualesson las tendencias de seguridad en ambientes VoIP.

A. Protección a nivel de señalización

En el momento en que se empieza a pensar sobre la seguridad en redesVoIP, uno de los temas principales a tener en cuenta es la protección de laseñalización de los mensajes o paquetes que se intercambian entre los equiposterminales VoIP y los demás elementos de la red VoIP; esto se debe a la grancantidad de información sensible a nivel de protocolo VoIP que contienen di-chos mensajes, como por ejemplo los datos del manejo criptográfico de lasllamadas telefónicas, o los mensajes de petición de conexión entre dos termi-nales VoIP, y junto con la posibilidad de que estos mensajes pueden estar tran-sitando por zonas de la infraestructura de red de soporte de la solución VoIPque son inseguras o con políticas de seguridad cuestionables, pueden darle aun atacante suficiente información para que pueda identificar cual es la estruc-tura, a nivel de protocolo, de la red VoIP que desea comprometer para luegoperfilar su estrategia de ataque.

Ya habiendo visto cual es la importancia de la información contenida en losmensajes o paquetes manejados por los dispositivos VoIP, pasaremos a expo-ner algunas de las medidas de seguridad utilizadas para la protección de in-formación a nivel de señalización que son utilizadas por los dos principalesprotocolos VoIP:



Mecanismo de protección a nivel de señalización

Protección de la señalización en el protocolo SIP

El protocolo SIP propone en su RFC 32616, el uso de varios protocolos de seguri-dad de señalización, que son ampliamente reconocidos para asegurar la señali-zación de sus mensajes; entere los cuales se encuentran el IPSec (Internet ProtocolSecurity) donde este protocolo genera un «túnel» de seguridad entre dos entes dela red VoIP, para que así los mensajes que transiten esten protegidos de cualquierataque. Otra recomendación de seguridad a nivel de señalización en el protocoloSIP es el uso de TLS (Transport Layer Security), que es definido en el RFC 43467,donde se implementa una autentificación mutua entre un par de elementos de lared VoIP (terminal y servidor VoIP), este protocolo de seguridad se compone dedos capas, la primera es la llamada TLS Record Protocol o protocolo de registroTLS donde se encarga de mantener la conexión segura entre los dos puntos VoIPasegurados y la segunda capa es el TLS Handshake Protocol o protocolo denegociación TLS donde se gestionan las propiedades de criptografía utilizada enla comunicación entre los entes VoIP, para así poder generar un puente seguroentre ellos para su intercambio de mensajes VoIP. Y por último, otro de los proto-colos destacados al momento de aplicar seguridad a nivel de señalización delprotocolo SIP es el S/MIME (Secure / Multipurpose Internet Mail Extensions)que es especificado en el RFC 38518, el cual provee mecanismos que garantizan laintegridad, autentificación y confidencialidad de diferentes mensajes, entre elloslos mensajes utilizados por el protocolo SIP, su funcionamiento a grandes rasgoses que S/MIME firma digitalmente de manera parcial o total al mensaje SIP,logrando así que el receptor del mensaje pueda verificar si el mensaje ha sidomanipulado y/o modificado en su tránsito por la red VoIP.

Seguridad a nivel de señalización en el protocolo H.323

El protocolo H.323 maneja un protocolo exclusivo de seguridad, que es el pro-tocolo H.235; este es el que define los procesos de autentificación y deencriptación utilizados al momento de manejo de mensajes entre elementosVoIP que utilizan el protocolo H.225 para establecer la comunicación de men-sajes VoIP entre dos elementos de la red VoIP. Una de las grandes ventajas deimplementar la seguridad de señalización bajo el protocolo H.235 aparte de laperfecta simbiosis con el protocolo H.323, es el hecho de poder incorporar ma-terial criptográfico para la protección de la señalización de mensajes directa-mente a los mensajes de establecimiento de llamadas.

6 H. SCHULZRINNE, E. SCHOOLER Y J. ROSENBERG; "SIP: Session Initiation Protocol" RFC 3261, 2002.

7 T. DIERKS Y E. RESCORLA; «The Transport Layer Security (TLS) Protocol» RFC 4346, 2006.

8 B. RAMSDELL; «Secure/Multipurpose Internet Mail Extensions (S/MIME)» RFC 3851, 2004.



B. Protección a nivel de multimedia:

La principal preocupación al momento de pensar en la seguridad de solu-ciones VoIP, es el proteger las conversaciones telefónicas realizadas entre losusuarios de cualquier solución VoIP; ya que si por mas que se aseguren losprocesos de señalización de mensajes VoIP pero no se protege la informaciónde los servicios de telefonía y/o de videoconferencia soportados, estaremosperdiendo directamente la información sensible (passwords, nombres deusuario, datos vitales de clientes, entre otra información) contenida en lasllamadas telefónicas y/o sesiones de videoconferencia que transitan en lared VoIP.

Es por esto que al momento de generar una solución VoIP segura, se debepensar en utilizar protocolos de seguridad que protejan tanto a nivel de seña-lización como a nivel multimedia de manera conjunta, para así generar un úni-co canal de flujo de información VoIP protegido; pero lograr este nivel deprotección puede llegar a ser algo confuso para el especialista en seguridadinformática, puesto que este tipo de protocolos combinados tienden a ser com-plejos al momento de diseñar y de implementar en un ambiente VoIP, que soloel simple hecho de implementarlos por separado; y además se debe garantizarque por agregar parámetros de seguridad complejos a la solución VoIP, estano se vea comprometida en su buen funcionamiento y/o pierda calidad en elservicio, un ejemplo de cómo es la complejidad al momento de generar unambiente VoIP seguro no debe influir en el funcionamiento optimo del servi-cio VoIP, es el hecho de que se debe realizar los procesos de encriptación,desencriptación y de autentificación de las llamadas sin agregar tiempos delatencia que comprometan la interacción en tiempo real entre el emisor y elreceptor de la llamada telefónica, o el hecho de congestionar a la red VoIP alutilizar ancho de banda extra al momento de ejecutar los servicios de seguri-dad, ya que lo optimo es que estos se ejecuten de manera transparente al usua-rio final.

Así que es por estas complejidades de aplicación de seguridad y ademásdel hecho de poder garantizar un proceso de gestión y realización de llamadastelefónicas ágil y similar al servicio prestado por las redes PSTN (Public SwitchedTelephone Network), que se descuida tanto el concepto de la seguridad en lasredes VoIP y pasan estas a ser un campo fértil para ataques por parte de hackersen búsqueda de información sensible y de fácil adquisición.

Pero no todo es negativo al momento de proteger el contenido multimedia(voz y/o video) de un servicio VoIP, ya que existen varios protocolos y me-



9 ERIC CHEN; «Detecting DoS Attacks on SIP Systems»; Paper presentado en Proceedings of the 1st IEEEWorkshop on VoIP Management and Security (VoIP MaSe); 2006.

canismos de seguridad idóneos para esta materia, pero que son implementadosde manera separada con los procesos de protección a nivel de señalización;lo cual permite una menos compleja implementación pero que disminuye demanera sustancial el nivel de protección de los datos que nos puede llegar agenerar al utilizar un esquema integrado de protección en ambos flancos.

Entre los protocolos de seguridad VoIP, el más ampliamente utilizado yde mayor integración con el ambiente VoIP, en lo referente a la protecciónde datos multimedia, es el protocolo SRTP (Secure Real Time Protocol) debi-do a que cualquier implementación VoIP utiliza al protocolo RTP (Real TimeProtocol o Protocolo de Transporte en Tiempo Real) como mecanismo parala transmisión de datos multimedia, esto es debido a que el protocolo RTPrealiza comunicaciones multimedia de manera muy superficial, ya que única-mente define de manera básica las características mínimas de la sesiónmultimedia, para así poder generar una transmisión rápida y sin interrupcio-nes. Asi que debido al amplio uso del protocolo RTP, nace el protocolo SRTP(Secure Real Time Protocol o Protocolo de Transporte en Tiempo Real Segu-ro), que fue diseñado para poder realizar la transmisión de datos multimediade manera fluida pero que además agrega componentes de seguridad paragarantizar la integridad, autentificación y confidencialidad de las sesionesRTP, como lo son el poder agregar componentes criptográficos y la indepen-dencia del transporte de la señal multimedia para así controlar la perdida depaquetes VoIP que puedan ser utilizados de manera no apropiada por terce-ros mal intencionados.

C. Nuevas tendencias en seguridad VoIP:

En lo que se refiere al futuro en la seguridad en ambientes de trabajo VoIP,la comunidad de investigación y desarrollo de metodologías de seguridadinformática, ha presentado varios postulados académicos que presentanmetodologías innovadoras, en búsqueda de poder generar soluciones de se-guridad robustas que logren mitigar las vulnerabilidades e intentos de ataquepor parte de hackers que han descubierto en esta tecnología «emergente»,como fuente asequible de información sensible. A continuación se presentaranalgunos de las propuestas más interesantes y que implican un aumento sustan-cial en el nivel de seguridad de una solución VoIP.

El investigador Eric Chen, en su paper llamado «Detecting DoS Attackson SIP Systems»9, presenta un mecanismo de detección de ataques de dene-



gación de servicio (DoS) en ambientes VoIP SIP, que se basa en la mediciónde las transacciones VoIP realizadas en cada nodo de la solución VoIP, de lacantidad de errores generados en la plataforma VoIP y el nivel de traficoVoIP, para así tener un valor esperado y optimo en cada una de estas varia-bles; y al momento de presentarse anomalías en dichos valores se generaranalertas de un posible ataque de denegación de servicio al administrador dela red VoIP.

Los profesores Vijay Balasubramaniyan, M. Ahamad y Haesun Park, en eldocumento «CallRank: Combating SPIT Using Call Duration, Social Networksand Global Reputation»10, proponen el uso de un mecanismo que se base en lostiempos de duración de las llamadas y en un modelo grafico que representecomo es la red social de los consumidores de una solución VoIP; para asi lo-grar determinar cuál es nivel de reputación de cada uno de dichos usuarios; ybasándose en estos datos se lograría determinar cuáles son llamadas legítimasy cuales son simplemente intentos de ataque por parte de un usuario mal in-tencionado, ya que si se evidencian llamadas de muy corta duración o llama-das de larga duración entre usuarios con una relación social baja puede ser queestas llamadas no sean generadas por las personas dueñas de las extensionesVoIP implicadas.

Los investigadores Alex Talevski, Elizabeth Chang y Tharam Dillon pre-sentaron en formato de paper, el documento «Secure Mobile VoIP»11; que esuna propuesta de integración de mecanismos de seguridad criptográficos enprotocolos VoIP ligeros, para ser implementados en soluciones VoIP en termi-nales celulares. Este proyecto es un gran avance en búsqueda de generar me-canismos de seguridad que garanticen la confidencialidad en llamadas VoIPgenerando un canal seguro en un ambiente tan inseguro y amplio como lo eslas redes de telefonía celular.

CONCLUSIONES

La tecnología VoIP aun se considera como una tecnología relativamentenueva y de alta adopción, y por ende debe ser tratada como tal en lo que serefiere a su seguridad; teniendo especial cuidado en las vulnerabilidades de

10 V. BALASUBRAMANIYAN, M. AHAMAD Y H. PARK; «CallRank: Combating SPIT Using CallDuration, Social Networks and Global Reputation»; Proyecto de desarrollo presentado en Proceedings ofthe 4th Conference on Email and Anti-Spam (CEAS); 2007.

11 A. TALEVSKI, E. CHANG. Y T. DILLON; «Secure Mobile VoIP»; Paper expuesto en Proceedings of theInternational Conference on Convergence Information Technology; 2007.



sus protocolos y en la arquitectura de las redes de datos que soportan a lassoluciones VoIP. Otro concepto a tener en cuenta en lo emergente de la tec-nología VoIP, es que los ataques presentados en el anterior artículo, solopueden ser la punta del iceberg de posibles variaciones o nuevas tendenciasde ataque que se puedan aprovechar de la tecnología VoIP, por ende se reco-mienda al lector, que sea responsable de una solución VoIP estar en constan-te evaluación de dicha red VoIP, y se invita a todo tipo de usuario VoIP aestar en constante aprendizaje de nuevas técnicas de protección VoIP y delas posibles nuevas vulnerabilidades o riesgos de una solución VoIP, y asípoderlos afrontar de mejor manera en un futuro no muy lejano.

Otro concepto a tener en cuenta es que los problemas de seguridad en re-des VoIP, no solo se radican en el estado naciente de los protocolos en los quese apoyan para generar los servicios de telefonía y/o teleconferencia; sino quehay que tener muy en cuenta la infraestructura de red que soporta la soluciónVoIP, por ende hay que purgar cualquier configuración débil o por defecto delos equipos de red que interactúan o soportan a la red VoIP, para así poderminimizar la cantidad de puntos débiles que puedan comprometer de cual-quier manera al servicio VoIP a proteger.

Y por último, también se ha podido observar, que cualquier solución deseguridad aplicada en el ambiente VoIP viene de la mano con un costo, quepuede ser monetario o de dificultad de implementación, por ende es reco-mendado que el profesional de la seguridad de la información que se pon-ga en la tarea de asegurar la información de una red VoIP, balancee de lamejor manera sus necesidades de seguridad frente a los costos que estosconllevan, para así encontrar la solución optima y apropiada de seguridadVoIP.

REFERENCIAS

1. H. SCHULZRINNE, E. SCHOOLER y J. ROSENBERG. «SIP: Session Initiation

Protocol» RFC 3261, 2002.

2. VARIOS. «Packet-Based Multimedia Communications Systems» ITU-T Recommen-

dation H. 323, 2003.

3. ANGELOS KEROMYTIS. «Voice over IP Security: A Comprehensive Survey of

Vulnerabilities and Academic Research»; Editorial: Springer, 2011.

4. T. DIERKS y E. RESCORLA. «The Transport Layer Security (TLS) Protocol» RFC

4346, 2006.



5. B. RAMSDELL. «Secure/Multipurpose Internet Mail Extensions (S/MIME)» RFC 3851, 2004.

6. ERIC CHEN. «Detecting DoS Attacks on SIP Systems»; Paper presentado enProceedings of the 1st IEEE Workshop on VoIP Management and Security (VoIPMaSe), 2006.

7. V. BALASUBRAMANIYAN, M. AHAMAD y H. PARK. «CallRank: CombatingSPIT Using Call Duration, Social Networks and Global Reputation»; Proyecto dedesarrollo presentado en Proceedings of the 4th Conference on Email and Anti-Spam (CEAS), 2007.

8. A. TALEVSKI, E. CHANG. y T. DILLON. «Secure Mobile VoIP»; Paper expuesto enProceedings of the International Conference on Convergence Information Technology,2007.

BIBLIOGRAFÍA

1. ALAN B. JOHNSTON. «Understanding Voice over IP Security»; Editorial: ArtechHouse Publishers, 2006.

2. ANGELOS KEROMYTIS. «Voice over IP Security: A Comprehensive Survey ofVulnerabilities and Academic Research»; Editorial: Springer, 2011.

3. MARK COLLIER y DAVID ENDLER. «Hacking Exposed VoIP: Voice Over IP SecuritySecrets & Solutions»; Editorial: McGraw-Hill, 2006.

4. PETER THERMOS y ARI TAKANEN. «Securing VoIP Networks: Threats,Vulnerabilities and Countermeasures»; Editorial: Addison-Wesley Professional, 2007.

INFOGRAFÍA

1. D. RICHARD KUHN, THOMAS J. WALSH y STEFFEN FRIES. «SecurityConsiderations for Voice Over IP Systems - Recommendations of the National. Instituteof Standards and Technology»; Documento WEB PDF; [URL: http://csrc.nist.gov/publications/nistpubs/800-58/SP800-58-final.pdf].

2. MARK COLLIER. «Basic Vulnerability Issues for SIP Security»; Documento WEB -PDF; [URL: http://download.securelogix.com/library/SIP_Security030 105.pdf].

3. TOSHIO MIYACHI. «Principles of VoIP Security»; Documento WEB - PDF; [URL:www.necunifiedsolutions.com/Downloads/WhitePapers/NEC_VoIP_SecurityBestPractice_Vol_1_WhPpr.pdf].



4. TOSHIO MIYACHI Y TERUHARU SERADA. «Models of Secure VoIP Systems»; Do-cumento WEB - PDF; [URL: www.necunifiedsolutions.com/Downloads/WhitePapers/NEC_VoIP_SecurityBestPractice_Vol_2_WhPpr.pdf].

estado del arte de la (in)seguridad voip

Documents